Reaper: Tự động hóa quy trình proxy tấn công và trinh sát

Reaper hiện đang trong quá trình phát triển, nhưng đã có khả năng rất nhiều. Dưới đây là một tổng quan nhanh về một số công việc bạn có thể thực hiện:

• Chặn và sửa đổi các yêu cầu và phản hồi HTTP
• Lưu trữ và phân loại các yêu cầu/phản hồi HTTP để kiểm tra/làm mới sau này
• Quản lý nhiều dự án và cài đặt cụ thể cho từng dự án bằng cách sử dụng các không gian làm việc
• Tạo từng bước các quy trình để tấn công ứng dụng web bằng cách sử dụng giao diện đồ họa độc đáo của chúng tôi
• Tự động hóa các công việc đơn giản như kiểm tra lỗ hổng, thử mật khẩu và v.v.
• Thực hiện các cuộc tấn công tự động đối với các ứng dụng web
• Tạo, chia sẻ và hợp tác trong việc tạo các quy trình tùy chỉnh để tự động hóa kiểm tra của bạn

“Tôi yêu thích các công cụ như Burp và ZAP nhưng thường gặp khó khăn trong việc tạo ra các quy trình làm việc. Việc chia sẻ chuỗi sự kiện với đồng nghiệp hoặc khi báo cáo lỗi luôn luôn là một khó khăn, và việc minh họa một quy trình phức tạp bằng một tập lệnh Python khổng lồ luôn thiếu yếu tố hình ảnh - đặc biệt khi một tập lệnh được chia sẻ gặp lỗi, và ai đó phải cố gắng để tái tạo một lỗi mà tôi đã tìm thấy. Reaper là một cố gắng để làm cho việc chia sẻ các lỗ hổng và tái tạo lỗi dễ dàng hơn và giúp các lỗ hổng dễ hiểu hơn thông qua một tham chiếu hình ảnh," Liam Galvin, Kỹ sư phần mềm cấp cao tại Ghost Security và nhà phát triển chính của Reaper, chia sẻ với Help Net Security.

"Một số điều chúng tôi đang hướng đến trong tương lai là giao diện người dùng được cải thiện, thêm một kiến trúc plugin để bất kỳ ai cũng có thể thêm các chức năng của họ, và thêm một cơ sở dữ liệu lỗ hổng có khả năng tìm kiếm tích hợp mà cộng đồng có thể đóng góp - sau đó, những lỗ hổng này có thể được chạy dễ dàng thông qua việc tìm kiếm, thiết lập một số tham số quan trọng như địa chỉ IP, và nhấp vào một nút," Galvin kết luận.